Audit 服务安装
[ root@demo ~]
Audit 启动 && 开机启动
[ root@demo ~]
[ root@demo ~]
配置 Audit 规则
[ root@demo ~]
记录系统的日期和时间的修改
-a always,exit -F arch= b64 -S adjtimex -S settimeofday -k time-change
-a always,exit -F arch= b32 -S adjtimex -S settimeofday -S stime -k timechange
-a always,exit -F arch= b64 -S clock_settime -k time-change
-a always,exit -F arch= b32 -S clock_settime -k time-change
-w /etc/localtime -p wa -k time-change
记录用户和组的修改的事件
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
记录网络环境修改时间
-a always,exit -F arch= b64 -S sethostname -S setdomainname -k system-locale
-a always,exit -F arch= b32 -S sethostname -S setdomainname -k system-locale
-w /etc/issue -p wa -k system-locale
-w /etc/issue.net -p wa -k system-locale
-w /etc/hosts -p wa -k system-locale
-w /etc/sysconfig/network -p wa -k system-locale
-w /etc/sysconfig/network-scripts/ -p wa -k system-locale
记录登录和登出事件
-w /var/log/lastlog -p wa -k logins
-w /var/run/faillock/ -p wa -k logins
记录会话启动事件
-w /var/run/utmp -p wa -k session
-w /var/log/wtmp -p wa -k logins
-w /var/log/btmp -p wa -k logins
文件/var/run/utmp跟踪当前登录的所有用户。所有审计记录都将用标识符“session”标记, 可以用who命令读取
/var/log/wtmp文件跟踪登录、注销、关机和重新启动事件。
文件/var/log/btmp跟踪失败的登录尝试,可以通过输入命令 ‘/usr/bin/last-f /var/log/btmp’ 读取。所有审核记录都将被标记为标识符“logins”
监视对文件权限、属性、所有权和组的更改
-a always,exit -F arch= b64 -S chmod -S fchmod -S fchmodat -F auid>= 1000 -F auid!= 4294967295 -k perm_mod
-a always,exit -F arch= b32 -S chmod -S fchmod -S fchmodat -F auid>= 1000 -F auid!= 4294967295 -k perm_mod
-a always,exit -F arch= b64 -S chown -S fchown -S fchownat -S lchown -F auid>= 1000 -F auid!= 4294967295 -k perm_mod
-a always,exit -F arch= b32 -S chown -S fchown -S fchownat -S lchown -F auid>= 1000 -F auid!= 4294967295 -k perm_mod
-a always,exit -F arch= b64 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>= 1000 -F auid!= 4294967295 -k perm_mod
-a always,exit -F arch= b32 -S setxattr -S lsetxattr -S fsetxattr -S removexattr -S lremovexattr -S fremovexattr -F auid>= 1000 -F auid!= 4294967295 -k perm_mod
记录未授权文件访问尝试
-a always,exit -F arch= b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit= -EACCES -F auid>= 1000 -F auid!= 4294967295 -k access
-a always,exit -F arch= b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit= -EACCES -F auid>= 1000 -F auid!= 4294967295 -k access
-a always,exit -F arch= b64 -S creat -S open -S openat -S truncate -S ftruncate -F exit= -EPERM -F auid>= 1000 -F auid!= 4294967295 -k access
-a always,exit -F arch= b32 -S creat -S open -S openat -S truncate -S ftruncate -F exit= -EPERM -F auid>= 1000 -F auid!= 4294967295 -k access
收集成功挂载磁盘事件
-a always,exit -F arch= b64 -S mount -F auid>= 1000 -F auid!= 4294967295 -k mounts
-a always,exit -F arch= b32 -S mount -F auid>= 1000 -F auid!= 4294967295 -k mount
收集用户的文件删除事件
-a always,exit -F arch= b64 -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!= 4294967295 -k delete
-a always,exit -F arch= b32 -S unlink -S unlinkat -S rename -S renameat -F auid>= 1000 -F auid!= 4294967295 -k delete
收集对系统管理范围(sudoers)的更改
-w /etc/sudoers -p wa -k scope
-w /etc/sudoers.d/ -p wa -k scope
收集内核模块加载和卸载
-w /sbin/insmod -p x -k modules
-w /sbin/rmmod -p x -k modules
-w /sbin/modprobe -p x -k modules
-a always,exit -F arch= b64 -S init_module -S delete_module -k modules
收集使用特权命令
[ root@demo ~]
> "-a always,exit -F path=" $1 " -F perm=x -F auid>=1000 -F auid!=4294967295 \
> -k privileged" } '
-a always,exit -F path= /usr/bin/wall -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/chfn -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/chsh -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/su -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/chage -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/gpasswd -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/newgrp -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/staprun -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/mount -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/pkexec -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/umount -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/write -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/crontab -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/sudo -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/ssh-agent -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/bin/passwd -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/sbin/pam_timestamp_check -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/sbin/unix_chkpwd -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/sbin/netreport -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/sbin/usernetctl -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/sbin/postdrop -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/sbin/postqueue -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/lib/polkit-1/polkit-agent-helper-1 -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/libexec/utempter/utempter -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/libexec/dbus-1/dbus-daemon-launch-helper -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
-a always,exit -F path= /usr/libexec/openssh/ssh-keysign -F perm= x -F auid>= 1000 -F auid!= 4294967295 -k privileged
参考